郑永奇
(郑州澍青医学高等专科学校 河南 郑州 450000)
近些年来,以网络异常流量监测为核心的研究受到了越来越多的关注[1-3]。其中李杰等[4]将Socket 融入到网络通信流量异常的监测方法研究之中,在一定程度上提高了监测结果的可靠性,但是由于其需要进行的计算较多,因此对于异常流量的监测存在一定的滞后性,导致对于异常流量规模的监测结果存在一定误差,且在非稳态的模式下,扰动因子也会对其监测稳定性造成影响。胡津铭等[5]以移动警务终端为研究对象,在对SOM 神经网络进行改进后,将其应用到流量监测中,提高了对于流量数据信息的响应效率,对应的流量规模监测结果也更加准确,但是其对于异常流量的判断存在一定的提升空间,部分正常流量误识别为异常流量的情况时有发生。
结合卷积神经网络在数据分析方面的优势,本文提出一种基于双向循环卷积神经网络的网络异常流量监测方法,并通过对比测试的方式分析验证了设计方法对于异常流量的监测效果。
1.1 构建双向循环卷积神经网络
为了确保本文循环卷积神经网络能够根据输入的网络流量数据及时作出运行反馈,本文为循环卷积神经网络设置了感知器单元,利用其获取网络流量信号,在对其进行加权求和处理的基础上[6],借助非线性激活函数将其输入到神经网络中。感知器单元对数据的处理方式可以表示为:
其中,y表示感知器单元输出的网络流量数据,sigmoid表示非线性激活函数,wi表示网络流量数据xi 的权重系数。通过这样的方式,实现对循环卷积神经网络感知器单元的构建。
其次,考虑到神经网络中包含大量神经元,在对网络流量数据信息进行识别分类的过程中,本文为了最大限度避免由于神经元饱和和学习速率缓慢导致的监测结果异常问题[7],利用交叉熵代价函数对流量数据在神经网络各神经元之间的传递进行约束,具体计算方式可以表示为:
其中,c表示交叉熵代价函数的计算结果,a表示交叉熵,根据式(2)所示的方式,在卷积神经网络运行的过程中,为了最大化各神经元输出值与期望目标值之间的拟合度,需要最小化a,并使其无限趋近于0。
最后就是对双向循环卷积神经网络整体结构的设置,图1为本文构建的循环卷积神经网络结构示意图。
图1 双向循环卷积神经网络结构示意图
从图1中可以看出,本文设计卷积层提取输入层网络流量的特征信息,为了确保异常流量识别结果的可靠性,本文将传统卷积神经网络中的卷积层替换为循环卷积层,对于提取到的特征参量,在特征层数据中添加空数据后,对其进行二次抽象提取,并按照这样的方式循环至特征层抽取的特征数据结果与上一次一致。将对应的结果输入到池化层,将其作为异常流量判断的基准。
1.2 网络异常流量监测
在上述基础上,本文对于网络异常流量监测是实际的网络流量数据与循环卷积层输出特征参量之间的关系实现的,考虑到对于异常流量的监测需要[8-9],本文在计算过程中引入了时间参量。具体的监测流程分为以下几个步骤:
步骤1:将网络流量数据信息输入到循环卷积神经网络中,经过式(1)所示的感知器单元对其进行激活处理,并输入到循环卷积层;
步骤2:在循环卷积层提取数据的特征参量,其计算方式可以表示为:
其中,y1(m,n)表示提取到的网络流量数据特征参量,b表示偏置系数,wm和wn分别表示m和n循环卷积层神经元的输出结果的权重系数,k表示卷积层的边长,*表示卷积运算,d表示卷积的步长。通过这样的方式计算得到初代特征参量。
步骤3:采用随机的方式在提取到的特征结果中添加空数据,二次计算特征参量,其计算方式可以表示为:
其中,y2(m,n)表示第一次循环计算得到的二次特征参量,d+l 表示第一次循环卷积的步长,l 表示空数据的添加规模。
步骤4:按照上述的方式循环直至得到的特征参量不再随着循环次数的增加发生变化,将其输入到池化层,与样本数据提取到的特征值进行比较,当二者存在差异时,则表明此时的网络流量为异常状态,以记录当前数据的时间标签,以循环神经网络数输出特征与池化层一致时为终止,得到对应的时间信息,结合异常流量的具体参数,计算出异常的规模。
通过这样的方式,实现对网络异常流量的准确监测。
2.1 测试环境及数据准备
本文以Linux2020 操作系统作为测试环境,对于测试数据的准备,本文选取了CIC-IDS2017 的原始网络流量数据,通过这样的方式确保监测方法能够在实际的应用阶段表现出更高的通用性,对应的数据的网络协议中HTTP、HTTPS、FTP 和SSH。其次就是对异常流量数据的设置,考虑到一般情况下网络流量出现异常的原因多为外部攻击,为此,本文设置了9 种较为常见的攻击流量,其具体的类型和规模如表1所示。
表1 攻击流量设置
按照表1所示的设置结果,分别采用李杰等[4]、胡津铭等[5]以及本文的方法进行监测测试,并对比对应的测试结果。
2.2 测试结果与分析
对三种方法的监测结果进行分析,得到的结果如图2所示。
图2 不同方法监测结果
从图2中可以看出,正常状态下的流量为2.0×103~4.0×103bit,各个监测结果中对应的网络流量峰值即为异常流量,峰值对应的时间跨度不同,意味着流量相应的规模也不同,通过对图2中不同方法的测试结果进行分析可以看出,在李杰等[4]方法对应的2(a)监测结果中,监测到的异常流量值为10 个,在胡津铭等[5]方法对应的2(b)监测结果中,监测到的异常流量值为12 个,在本文设计方法对应的2(a)监测结果中,监测到的异常流量值为9 个,根据上述结果初步分析,本文设计方法的监测结果与测试设置阶段布置的9 个攻击流量数量上具有一致性。
在上述基础上,统计了三种方法对各攻击流量规模的监测结果,得到的数据信息如表2所示。
表2 不同方法网络流量规模监测结果统计表
对表2中的数据信息进行对比可以看出,李杰等[4]方法对于网络流量规模的监测结果与实际值之间的差异存在较大的波动性,其中,最大差值为对Normal Activity 的监测结果,达到了8.9 GB,这是因为其对异常流量的监测结果中存在将正常流量误识别为异常流量的情况。除此之外,对于DoS、Force 和Botnet 异常攻击流量规模的监测结果误差也达到了1.0 GB 以上,表明该监测方法的可靠性仍存在进一步提升的空间。胡津铭等[5]方法对于网络流量规模的监测结果整体误差相对较低,对于设置的9 种异常攻击流量规模,监测误差均在1.0 GB以内,最大值仅为0.9 GB,但是在图2所示的监测结果中已经表现出了对异常流量的判断存在一定的不足,由于Normal Activity 识别为异常流量,因此对该部分流量的监测误差较大,达到了15.4 GB。相比之下,本文设计方法对于异常流量规模的监测结果与设置值之间的差值始终稳定在0.3 GB 以内,在不同异常流量规模监测误差的累积作用下,对于Normal Activity 规模的监测误差也仅为0.6 GB。这是因为本文设计的监测方法利用双向循环卷积神经网络实现了对异常值的计算和校验,提高了监测结果的可靠性。测试结果表明,本文设计的基于双向循环卷积神经网络的网络异常流量监测方法具有良好的实际应用效果。
为了保障网络的安全性和稳定性,针对异常流量情况实施有效的管理和防御措施是十分必要的,这就意味着网络异常流量监测结果要具有更高的可靠性,能够为后续的网络管理工作提供准确的数据信息。针对该问题,本文提出一种基于双向循环卷积神经网络的网络异常流量监测方法,在一定程度上提高了对异常流量的检测精度。
猜你喜欢 网络流量参量卷积 基于多元高斯分布的网络流量异常识别方法淮阴师范学院学报(自然科学版)(2022年3期)2022-09-22大数据驱动和分析的舰船通信网络流量智能估计舰船科学技术(2022年10期)2022-06-17基于3D-Winograd的快速卷积算法设计及FPGA实现北京航空航天大学学报(2021年9期)2021-11-02太阳黑子自动识别与特征参量自动提取空间科学学报(2020年3期)2020-07-24卷积神经网络的分析与设计电子制作(2019年13期)2020-01-14含参量瑕积分的相关性质现代职业教育·高职高专(2020年10期)2020-01-05基于含时分步积分算法反演单体MgO:APLN多光参量振荡能量场*物理学报(2019年24期)2019-12-24大数据环境下的网络流量非线性预测建模微型电脑应用(2019年8期)2019-08-22从滤波器理解卷积电子制作(2019年11期)2019-07-04基于傅里叶域卷积表示的目标跟踪算法北京航空航天大学学报(2018年1期)2018-04-20